Notification
Voir plus
Derniers articles
SecNumCloud : La réponse aux cybermenaces sur le
Jan 26, 2025
Choix d’un produit OT : Les 12 commandements
Jan 25, 2025
Bastion informatique : Un atout clé pour votre
Déc 25, 2024
Cybersécurité : Les risques pour le secteur de
Déc 24, 2024
IEC 62443 : Tout ce qu’il faut savoir
Déc 23, 2024
EU Cyber Solidarity Act : Ce que vous
Déc 11, 2024
Air Gap : Le rempart ultime de la
Nov 17, 2024
Vulnérabilités et cybermenaces en cybersécurité OT
Sep 22, 2024
Diode de données : L’essentiel à savoir
Sep 20, 2024
Convergence IT/OT : Tout ce qu’il faut savoir
Sep 19, 2024
Cybersécurité OT : Normes et réglementations
Sep 16, 2024
Cybersécurité OT : Tout ce qu’il faut savoir
Sep 15, 2024
IT, OT et IoT : Comprendre les différences
Sep 13, 2024
La Cybersécurité OT : Un enjeu mondial, l’exemple
Sep 10, 2024SecNumCloud : La réponse aux cybermenaces sur le cloud
-
Gad
- Sans commentaires
Sommaire
Un matin, une grande entreprise industrielle française découvre que ses données stratégiques, hébergées sur le cloud, ont été compromises par une cyberattaque. Cet incident, pourtant évitable, met en lumière un enjeu crucial : la sécurité du cloud. Avec la montée en flèche des migrations vers le cloud et l’intensification des cybermenaces, la France a fait de la protection des données hébergées une priorité stratégique.
Selon Statista, le coût des cyberattaques en France atteindra environ 119 milliards d’euros en 2024, contre 94 milliards d’euros l’année précédente, soit une augmentation de près de 27 % en seulement un an.
Pour répondre à ces défis, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a mis en place la certification SecNumCloud. Ce label distingue les fournisseurs de cloud qui respectent les normes de sécurité les plus strictes, garantissant ainsi une protection optimale des données critiques.
Dans cet article, nous vous dévoilons les tenants et aboutissants de cette certification, véritable rempart contre les cybermenaces, et explorons pourquoi elle est devenue une référence incontournable pour les entreprises françaises.
Qu’est-ce que la qualification SecNumCloud ?
La qualification SecNumCloud est une norme de sécurité française développée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Elle vise à garantir la robustesse des solutions cloud face à la montée des cyberattaques.
Ce label occupe une place centrale dans l’écosystème cloud français. Il est attribué aux fournisseurs de services cloud qui respectent les standards de sécurité les plus exigeants, définis dans le référentiel SecNumCloud, que nous examinerons en détail un peu plus loin.
La qualification SecNumCloud est délivrée sous forme de visa pour une durée de trois ans, renouvelable.
Quels fournisseurs de cloud peuvent obtenir la qualification ?
Tout fournisseur de services cloud souhaitant prouver sa conformité aux normes de sécurité SecNumCloud peut demander une évaluation dans le cadre du processus de qualification supervisé par l’ANSSI. Cela inclut :
- Les fournisseurs PaaS (Platform as a Service) : Ces plateformes permettent aux développeurs de créer, héberger et déployer des applications sans se soucier de la gestion de l’infrastructure sous-jacente.
- Les fournisseurs IaaS (Infrastructure as a Service) : Ils mettent à disposition des ressources informatiques telles que des serveurs, des machines virtuelles, du stockage et des réseaux, sans nécessiter de gestion physique de l’infrastructure.
- Les fournisseurs SaaS (Software as a Service) : Ces services permettent aux utilisateurs d’accéder à des applications sans avoir à installer ni maintenir de logiciel sur leurs appareils.
- Les fournisseurs CaaS (Container as a Service) : Ces plateformes sont spécialisées dans la gestion, le déploiement et l’orchestration des conteneurs.
La portée de la qualification SecNumCloud est spécifique au service, ce qui signifie que le processus d’évaluation pour un PaaS diffère de celui d’un CaaS, par exemple.
Quel est l’objectif de cette qualification ?
Pour comprendre la raison d’être de cette qualification, remontons quelques années en arrière.
La qualification SecNumCloud a vu le jour en 2013, en réponse à la mise en place de la Loi de Programmation Militaire. Si cela vous intéresse, vous pouvez consulter son contenu ici, mais il n’est pas nécessaire de s’y attarder pour saisir l’enjeu.
Les débats autour de cette loi ont mis en lumière les risques liés à la gestion des données sensibles par les administrations françaises et les services publics, notamment en cas de défaillance d’un fournisseur de services cloud.
La qualification SecNumCloud a alors été créée comme la solution ultime pour auditer et garantir un niveau de sécurité élevé des solutions cloud utilisées par les administrations publiques et les Opérateurs d’Importance Vitale.
Il est important de noter que SecNumCloud est une qualification et non une certification, une distinction souvent mal comprise. Alors qu'une certification peut être obtenue sur un périmètre précis, le terme "qualification" est ici plus approprié pour désigner un service répondant aux exigences spécifiques de l’ANSSI.
Quels fournisseurs de cloud peuvent obtenir la qualification ?
Tout fournisseur de services cloud souhaitant prouver sa conformité aux normes de sécurité SecNumCloud peut demander une évaluation dans le cadre du processus de qualification supervisé par l’ANSSI. Cela inclut :
- Les fournisseurs PaaS (Platform as a Service) : Ces plateformes permettent aux développeurs de créer, héberger et déployer des applications sans se soucier de la gestion de l’infrastructure sous-jacente.
- Les fournisseurs IaaS (Infrastructure as a Service) : Ils mettent à disposition des ressources informatiques telles que des serveurs, des machines virtuelles, du stockage et des réseaux, sans nécessiter de gestion physique de l’infrastructure.
- Les fournisseurs SaaS (Software as a Service) : Ces services permettent aux utilisateurs d’accéder à des applications sans avoir à installer ni maintenir de logiciel sur leurs appareils.
- Les fournisseurs CaaS (Container as a Service) : Ces plateformes sont spécialisées dans la gestion, le déploiement et l’orchestration des conteneurs.
La portée de la qualification SecNumCloud est spécifique au service, ce qui signifie que le processus d’évaluation pour un PaaS diffère de celui d’un CaaS, par exemple.
Quel est l’objectif de cette qualification ?
Pour comprendre la raison d’être de cette qualification, remontons quelques années en arrière.
La qualification SecNumCloud a vu le jour en 2013, en réponse à la mise en place de la Loi de Programmation Militaire. Si cela vous intéresse, vous pouvez consulter son contenu ici, mais il n’est pas nécessaire de s’y attarder pour saisir l’enjeu.
Les débats autour de cette loi ont mis en lumière les risques liés à la gestion des données sensibles par les administrations françaises et les services publics, notamment en cas de défaillance d’un fournisseur de services cloud.
La qualification SecNumCloud a alors été créée comme la solution ultime pour auditer et garantir un niveau de sécurité élevé des solutions cloud utilisées par les administrations publiques et les Opérateurs d’Importance Vitale.
Pour ceux qui se demandent ce qu’est un « Opérateur d’Importance Vitale », il s’agit d’organisations identifiées par le gouvernement français dont les activités sont essentielles à la survie du pays ou peuvent représenter un danger pour la population. Environ 250 entreprises en font partie, mais pour des raisons de sécurité nationale, cette liste n’est pas publique et ces entreprises sont interdites de divulguer leur statut.
10 ans plus tard, l’utilisation du cloud est devenue omniprésente. Un large éventail d’entreprises, publiques et privées, cherche désormais cette qualification, notamment dans des secteurs comme la finance, la santé, l’énergie ou encore la défense, où des projets critiques ou des données particulièrement sensibles sont gérés.
Quelles sont les conditions préalables pour postuler à la qualification SecNumCloud ?
L’ANSSI ne précise pas de conditions préalables explicites, mais pour faciliter le processus, il est fortement recommandé de vérifier et de confirmer les points suivants :
- Siège social en France ou en Europe : Certaines exceptions existent pour les pays ayant des accords de reconnaissance mutuelle avec la France, donc vérifiez si nécessaire.
- Respect de la souveraineté : Aucune entreprise extérieure à l’Union Européenne ne doit détenir plus de 24 % du capital social ou 39 % des droits de vote (individuellement ou collectivement).
- Conformité aux réglementations sur la protection des données : Il est essentiel de respecter toutes les réglementations en vigueur et de pouvoir démontrer cette conformité.
- Certification ISO 27001 : Bien que ce ne soit pas obligatoire, la possession de cette certification est un atout majeur, car le référentiel SecNumCloud repose en partie sur l’annexe A de cette norme.
- Système de gestion de la continuité d’activité (BCMS) : Avoir mis en place un BCMS solide pour superviser le Plan de Continuité d’Activité (PCA).
- Outil SIEM déployé : Disposer d’un système de gestion des informations et des événements de sécurité (SIEM) opérationnel.
Que contient le référentiel SecNumCloud ?
Il est primordial de comprendre que le référentiel SecNumCloud évolue en permanence pour suivre les derniers progrès technologiques et les menaces émergentes. Il garantit la protection continue et mise à jour des services cloud, en intégrant des normes techniques, opérationnelles et juridiques. Au fil du temps, il est devenu de plus en plus « protectionniste » concernant les données liées aux lois non-européennes.
Dans sa dernière version (3.2), le référentiel comprend plus de 360 exigences, réparties sur 14 thèmes de sécurité, parmi lesquels :
- Sécurité de l’information et gestion des risques : Cela inclut la mise en place d’une politique stricte de sécurité de l’information, la documentation des risques et des engagements associés, et la conformité au guide de l’hygiène informatique de l’ANSSI.
- Cryptographie : Il s’agit de mettre en place des mécanismes de cryptage solides pour les données stockées, les mots de passe, et les flux réseaux, d’utiliser des signatures électroniques, de gérer les secrets cryptographiques avec rigueur et d’employer uniquement des outils cryptographiques approuvés par l’UE.
- Gestion des incidents liés à la sécurité de l’information : Ce point nécessite une documentation exhaustive et l’application stricte d’une procédure permettant des réponses rapides et efficaces en cas d’incident de sécurité.
- Continuité d’activité : Ce thème impose la mise en place de procédures strictes pour garantir la continuité des affaires, maintenir ou rétablir le fonctionnement du service, et assurer la disponibilité de l’information en cas d’incident. Il inclut également un service de sauvegarde de données fiable.
- Conformité : Cela implique d’identifier et de respecter de manière continue (avec justification) toutes les exigences légales et contractuelles existantes, notamment en matière de protection des données personnelles, ainsi que d’organiser des audits réguliers après l’évaluation initiale.
Nous allons nous arrêter ici pour éviter de trop nous perdre dans les détails, mais n’hésitez pas à consulter directement le référentiel SecNumCloud pour en savoir plus : SecNumCloud Repository.
4 étapes pour obtenir la qualification SecNumCloud
Obtenir la qualification SecNumCloud nécessite de suivre un processus rigoureux composé de plusieurs étapes clés, appelées « jalons », afin de garantir une conformité totale avec les normes de sécurité de l’ANSSI. Voici un aperçu de ce parcours :
1
Soumission de la candidature
Le processus débute par la soumission de la candidature par le fournisseur auprès de l’ANSSI. Celle-ci examine la demande pour vérifier l’éligibilité. Une fois validée, l’entité est inscrite sur la liste des candidats à la qualification.
2
Définition du processus d’évaluation
Une fois la candidature acceptée, le fournisseur collabore avec le centre d’évaluation pour élaborer une stratégie d’évaluation adaptée aux services proposés. Ce jalon marque le début de la phase d’évaluation.
3
Audit final
Lorsque les mises à niveau de sécurité sont appliquées, un audit final (jalon J2) est effectué pour vérifier que toutes les exigences de sécurité sont bien respectées, garantissant ainsi une conformité totale.
4
Validation par l’ANSSI
Les résultats de l’audit final sont soumis à l’ANSSI pour une validation finale. Si tout est conforme, le visa SecNumCloud est accordé et une annonce officielle est faite sur le site de l’ANSSI.
Phases opérationnelles
Entre l'étape 2 et et 3, plusieurs étapes intermédiaires se déroulent, appelées « phases opérationnelles » :
- Audit initial : Lors de cette première évaluation, la conformité des infrastructures et des procédures de sécurité aux exigences de l’ANSSI est analysée. Cela peut concerner la politique de sécurité, les mesures de contrôle d’accès, ou encore les mécanismes de cryptage.
- Mises à niveau de la sécurité : En fonction des résultats de l’audit, des améliorations sont proposées pour renforcer la sécurité de l’infrastructure. Le fournisseur doit ensuite mettre en œuvre les recommandations.
L’aide gouvernementale est-elle disponible ?
Le gouvernement français reconnaît que l’obtention du visa SecNumCloud peut représenter un défi, en particulier pour les startups et les PME, en raison de la complexité et des coûts associés au processus. Dans cette optique, un programme de soutien a été mis en place pour aider les entreprises.
Doté d’un budget de 3,5 millions d’euros, ce programme fait partie de la stratégie « Cloud pour 2030 » de la France. L’initiative vise à lever les obstacles pour les startups et les PME en offrant un accompagnement tout au long de la préparation à la qualification.
Cela comprend un audit initial pour évaluer le niveau de maturité de l’entreprise, des services de conseil (élaboration d’un plan de croissance et préparation à la qualification), ainsi qu’un soutien financier pour le processus de qualification lui-même. Le portail d’accès à ce programme, lancé le 22 décembre 2022, est géré par Bpifrance en collaboration avec l’ANSSI et la Direction Générale des Entreprises (DGE).
Depuis le 15 février 2023, les startups et les PME peuvent bénéficier de ce soutien, avec un focus initial sur celles qui souhaitent commercialiser une offre qualifiée SecNumCloud dans les deux ans à venir.
Quelles sont les principales évolutions du cadre ?
La version 3.2 du cadre SecNumCloud de l’ANSSI, lancée en mars 2022, introduit plusieurs évolutions majeures.
Elle clarifie la composition de service, simplifiant la qualification des fournisseurs utilisant des composants préqualifiés. Par exemple, si un PaaS utilise un IaaS déjà qualifié, seul le PaaS est évalué, sans nécessité de qualifier toute la chaîne de données.De nouvelles exigences concernent aussi des services spécifiques comme le Container as a Service (CaaS).
Le changement majeur réside dans l’ajout de critères pour protéger les données contre des lois non européennes, telles que le FISA et le Cloud Act, jugées comme des risques pour la sécurité des données européennes.
Cette version 3.2 a également conduit à la création du label Cloud de Confiance en 2022 pour garantir une souveraineté des données.
Où trouver la liste des fournisseurs de cloud qualifiés SecNumCloud ?
La liste complète des fournisseurs de cloud actuellement qualifiés SecNumCloud est disponible sur le site officiel du gouvernement à l’adresse suivante : https://cyber.gouv.fr/produits-services-qualifies.
Conclusion
La qualification SecNumCloud est un atout précieux pour garantir la sécurité des services cloud en France, et comprendre ses tenants et aboutissants est essentiel pour toute entreprise souhaitant renforcer sa cybersécurité.
Si cet article a permis de clarifier certains aspects, sachez que nous n’avons fait qu’effleurer la surface. Nous avons encore beaucoup à partager avec vous, notamment des analyses plus poussées et des conseils pratiques pour naviguer dans ce processus complexe.
Restez connecté, car la route vers la conformité et la sécurité continue d’évoluer, et nous serons là pour vous guider à chaque étape.
Partagez cet article sur...
Gad
Gad est un auteur passionné et spécialisé dans la rédaction d'articles de blog depuis 2018. Son expertise se concentre sur des thématiques à la croisée de la technologie et de l'industrie, notamment l'Internet des objets (IoT), l'IoT industriel, et la cybersécurité pour les systèmes OT (Operational Technology).
Nos articles récents
01
02
03
04
05